1. HOME
  2. ブログ
  3. 編集部
  4. 年末年始のセキュリティ被害実態

年末年始のセキュリティ被害実態

編集部

株式会社アシュアードは、従業員数1,000名以上の大手企業に所属する情報システム・セキュリティ部門の担当者500名を対象に、年末年始休暇期間のセキュリティ対策実態調査を実施した。その結果、過去3年間で55.4%の企業が年末年始に何らかのセキュリティ被害を経験しており、約7割が休暇中の自社のセキュリティ体制に不安を感じている実態が明らかになった。一方で、取引先との緊急連絡体制を通常時より強化している企業は19.2%にとどまり、サプライチェーン全体のリスク管理には課題が残っているとしている。

半数超が年末年始にインシデントを経験

調査では、過去3年間の年末年始休暇期間に、サイバー攻撃などによる情報漏えいや業務停止といったセキュリティ被害を経験した企業が55.4%に上ることが示された。

自社への直接的なサイバー攻撃やセキュリティインシデントを経験した企業は51.4%であり、その内訳として、「マルウェア(ランサムウェア含む)感染による業務遅延・停止や情報漏洩」が30.4%と約3社に1社、「標的型攻撃などによる不正アクセス(情報窃取・システム改ざん)」が23.0%、「DDoS攻撃によるWebサービスやシステムの一時的な停止」が21.2%と続いている。

取引先に起因したインシデントについても、46.8%が年末年始休暇期間中にセキュリティ被害を経験している。最も多い事例は「取引先がマルウェア被害を受けたことによる自社の業務遅延・停止」で24.6%であり、直接攻撃を受けていない場合でも、自社の業務に影響が及ぶケースが少なくないことがうかがえる。

インシデントの起点となった取引先の種別では、「クラウドサービス事業者」が48.7%と最多であり、「システム開発・運用・保守委託先」が45.3%、「データセンター事業者」が35.5%と続いている。DXの進展によりクラウドサービスや外部事業者への依存が高まる一方で、利用するサービスや委託先の増加に比例してリスクも増大している実態が示されている。

7割が休暇中の体制に不安、ボトルネックは人員と見えないサプライチェーン

年末年始の自社セキュリティ体制について、「不安を感じている」と回答した担当者は70.2%に達した。長期休暇がサイバー攻撃の標的となるという認識は広がっているものの、十分な備えができていない状況がうかがえる。

年末年始のセキュリティ対策における懸念点・課題としては、「監視体制の人員不足(長期休暇中のシフト体制、専門知識を持つ要員の確保など)」が35.0%と最も多く挙げられた。続いて、「取引先・委託先のセキュリティレベルが不明であり、リスクを把握できない」が31.8%、「緊急時の社内連絡・対応体制が複雑化・機能不全に陥る可能性」が同じく31.8%とされている。

自社リソースの不足だけでなく、取引先や委託先のセキュリティ状況を十分に把握できていないこと、インシデント発生時の連絡・対応プロセスが複雑であることが、大きな不安要因になっている構図である。

強化されるのは社内対策中心、取引先との連絡体制強化は2割弱

年末年始に向けて、通常時より強化している対策として最も多かったのは「従業員への注意喚起」で50.0%である。次いで、「社内ネットワークへの機器接続ルールの確認と遵守」が44.8%、「監視体制の強化」が44.2%と続き、社内に向けた対策の強化が中心となっている。

一方で、サプライチェーンリスクへの備えとなる「取引先への緊急連絡体制の確認」を通常時より強化している企業は19.2%にとどまる。年末年始休暇期間中に発生した取引先起因のインシデントが自社へ波及している実態があるにもかかわらず、取引先との連絡体制や情報共有の強化は十分に進んでいないことが示唆されている。

休暇明けも要注意、再起動と大量メールに潜むリスク

対策が必要なのは休暇期間中だけではない。長期休暇明けを狙う攻撃リスクについても、企業は高い警戒を示している。

休暇明けの対策として、最も注意している・懸念している点として挙げられたのは、「PCやサーバーなど、停止していた機器の再起動・パッチ適用状況の確認」で42.2%である。次いで、「長期休暇中に受信した大量のメール(標的型攻撃メール含む)の確認」が39.6%となっている。

長期間起動していなかった機器が持つ潜在的な脆弱性や、休暇中に蓄積されたメールに紛れ込む標的型攻撃メールなど、業務再開時にもリスクが存在することを前提にした対策が重視されている。

専門家が示す年末年始の重点対策

株式会社アシュアード Assured事業部 セキュリティエキスパートであり、公認情報システム監査人(CISA)、システム監査技術者の真藤 直観 氏は、年末年始のサイバー攻撃の特徴を「人手が薄くなる状況を狙ったサイバー攻撃の『集中期間』」と表現している。特にランサムウェア攻撃やフィッシング詐欺が、長期休暇を狙って増加・巧妙化するリスクが今回の調査で明確になったと指摘する。

真藤氏は、年末年始の対策として、

  • 従業員への注意喚起の徹底(特にフィッシングメール対策)
  • 監視体制の確保
  • 取引先との緊急連絡体制の事前確認
  • 休暇明けの機器再起動・パッチ適用の計画策定

といった点を挙げ、自社だけでなく、取引先を含めたサプライチェーン全体のセキュリティ体制や、有事の際のインパクトを想定・確認することが、年末年始のリスクを最小化する鍵になると強調している。

さらに、財務面での「信用評価」と同様に、セキュリティにおいても取引先の「信用評価」を行うことが重要であると述べ、セキュリティの信用評価プラットフォーム「Assured」として、今後も社会全体のセキュリティ強化に貢献できるようサービス向上に努めていく方針を示している。

調査概要

  • 調査名:年末年始の長期休暇期間におけるセキュリティ対策の実態に関する調査
  • 調査主体:セキュリティの信用評価プラットフォーム「Assured」
  • 調査対象:全国、従業員数1,000名以上の企業に勤める情報システム・セキュリティ担当者
  • 有効回答数:500名
  • 調査時期:2025年11月
  • 調査手法:インターネットリサーチ(調査協力:株式会社クロス・マーケティング)

出典:PRTimes 年末年始のセキュリティ被害、大手企業の半数以上が経験。取引先起因の被害にも要注意

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!